盘点：CVE漏洞数量连续第四年创历史新高

E安全12月18日讯 在过去的一年中，美国当局发布了突破历史纪录数量的CVE，这是连续第四年创新高。截至12月15日，US-CERT漏洞数据库发现和分配的生产代码漏洞数量超过2019年的总量。

CVE 的英文全称是“Common Vulnerabilities & Exposures”通用漏洞披露。CVE开始建立是在1999年9月，起初只有321个条目。在2000年10月16日，CVE达到了一个重要的里程碑——超过1000个正式条目。截至2000年12月30日，CVE已经达到了1077个条目，另外还有1047个候选条目（版本20001013）。至2013年已经有超过28个漏洞库和工具声明为CVE兼容。

据悉，2019年共公布了17,306个CVE漏洞，其中包括4337个高风险漏洞、10,956个中等风险漏洞和2013年的低风险漏洞。截至12月15日，共录得17,447个漏洞，其中高风险漏洞4168个，中等风险漏洞10710个，低风险漏洞2569个。

根据美国国家标准与技术研究所(NIST)国家漏洞数据库的官方数据，2005年至2016年间，漏洞数量每年在4000至8000个之间。然而，到了2017年，这一数字飙升至超过1.4万，此后每年发布CVE的数量都创下新高。K2 Cyber Security注意到了最近创纪录的激增，它声称，COVID-19大流行可能对今年的数据披露造成了影响。

目前，各公司仍在努力寻找应用程序快速上市和代码安全之间的平衡。COVID-19大流行是今年的一个主要因素，”该供应商的联合创始人兼首席执行官Pravin Madhani说。

“这促使许多组织匆忙将他们的应用程序投入生产;他们运行更少的QA周期，更多地使用第三方、遗留和开放源代码，这是漏洞增加的关键风险因素。”

Pravin Madhani称，为了降低这些风险，DevOps团队应该在生命周期中尽可能远离安全问题，而系统管理员应该尽快打补丁，以确保操作系统和关键软件是最新的。

此外，Pravin Madhani说，“最后，重要的是要有一个安全框架，提供一个深入防御的架构。现在是时候从9月23日刚刚公布的NIST SP800-53中吸取教训了。新的安全和隐私框架标准现在要求运行时应用程序自我保护(RASP)作为框架中的一个附加安全层。”

声明：本文来自E安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。